Fórum Root.cz

Hlavní témata => Server => Téma založeno: ZAJDAN 26. 01. 2022, 20:35:10

Název: OpenSSL: vystavení klíče pro OCSP responder
Přispěvatel: ZAJDAN 26. 01. 2022, 20:35:10
Ahoj...
pokud generuji lokální Root CA -> Intermediary -> Server Certifikáty, tak abych mohl server certifikáty revokovat potřebuju nutně OCSP klíč a certifikát?
Název: Re:OpenSSL - OCSP
Přispěvatel: Petr Krčmář 27. 01. 2022, 10:35:34
Existují dva způsoby revokace: OCSP a CRL. To první vyžaduje provozovat a udržovat OCSP responder, to druhé je starší a funguje přes stahování seznamů revokovaných certifikátů z dané URL. Ani jedno dnes vlastně nefunguje, protože obojí to Chrome ignoruje.

Pokud jde o původní dotaz, OCSP je popsáno v RFC6960 (https://datatracker.ietf.org/doc/html/rfc6960) a tam se dočtete, že jeho odpověď může být podepsána klíčem samotné autority nebo speciálním klíčem pro OCSP, který autorita prohlásí v certifikátu za důvěryhodný.